人工智能在網絡安全中的應用
人工智能可以加速網絡安全過程,並提升其有效性,但也需要注意風險和限制。
自1970年代以來,電腦安全的貓鼠遊戲就已經開始。1971年,約翰·德拉珀利用一個來自Cap’n Crunch早餐麥片盒的玩具哨子,對電話系統進行了臭名昭著的破解。另一方面,雷·湯姆林森在1972年編寫了被認為是第一款防病毒軟件的Reaper程序,成功消除了同事鮑勃·托馬斯釋放的Creeper蠕蟲,兩人希望藉此展示可能的攻擊情境。
時至今日,網絡安全的行動仍然不斷且工具更為複雜。現在的武器是人工智能,而這一技術的應用已經向所有人開放。
英國政府的國家網絡安全中心在其一月的報告中指出:“威脅行為者,包括勒索軟件攻擊者,已經在利用人工智能提高網絡操作的效率和有效性,例如偵察、釣魚和編碼。這一趨勢幾乎肯定會持續到2025年及以後。”隨著“壞人”也能使用人工智能,網絡安全供應商不僅忙於將AI產品加入其產品線,還強調在與威脅行為者的AI競爭中保持優勢的重要性。網絡安全一直以來都是與黑暗勢力保持一個步伐的比賽。
加州聖塔克拉拉的安全公司Palo Alto Networks在去年五月的一份新聞稿中表示:“儘管人工智能對企業來說是一大助力,但它也被對手用來進行逃避性、獨特且具破壞性的零日攻擊,這是傳統安全解決方案無法檢測到的。”該公司在另一份新聞稿中則宣稱:“人工智能驅動的安全措施能夠超越對手,更主動地保護網絡和基礎設施。”
微軟在四月宣布其Microsoft Copilot for Security的普遍可用性時,使用的語言與Palo Alto Networks頗為相似,皆在強調要“超越對手”。英國Abingdon的計算機安全供應商Sophos在一份在線解釋中指出:“網絡犯罪組織已經在機器學習、自動化和人工智能上投資,以對組織發起大規模、針對性的網絡攻擊。威脅的數量和勒索軟件影響網絡的潛力持續增長。”Sophos進一步指出:“黑客可以利用人工智能進行惡意活動,包括生成可信的釣魚電子郵件甚至構建惡意軟件。”
根據諮詢公司Deloitte的預測,AI網絡安全市場到2032年將增長至1027.8億美元。
AI網絡安全產品的功能
安全供應商已經在產品開發和服務中應用人工智能,包括機器學習,至少已有十年的歷史。最近的變化是它們開始採用生成式人工智能(Gen AI),這種人工智能可以創建代碼、文本、圖像等,並在大約兩年前隨著OpenAI的ChatGPT發布而商業化。
例如,今年兩個主要的AI安全公告,分別來自華盛頓州雷德蒙德的微軟和Palo Alto Networks,均強調了它們在產品開發和部署中加入生成式AI的能力,並顯著提高效率,包括更快地識別威脅。微軟的Copilot Gen AI工具被納入其安全產品套件,並於四月一日正式推出。
微軟表示:“行業首個生成式AI解決方案將幫助安全和IT專業人士捕捉到其他人錯過的威脅,加快行動步伐,並加強團隊專業知識。”該公司提供了一份詳細的試用用戶速度提升的清單,雖然標題數據並不如語言所暗示的那麼驚人。微軟表示:“經驗豐富的安全分析師使用Copilot的速度提高了22%。在所有任務中,他們的準確性提高了7%。”最有說服力的數據或許是,根據微軟的說法,“97%的人表示希望在下次執行相同任務時使用Copilot。”
同樣,Palo Alto Networks在其五月的新AI產品推出中強調了速度和有效性,所有這些產品都利用了一種名為Precision AI的新專有系統,該系統包括生成特徵。該公司目前正將Precision AI集成到其三個現有的安全產品中:Strata(網絡安全)、Prisma(雲安全)和Cortex(安全運營中心)。這些產品隨之更名為Strata Copilot、Prisma Cloud Copilot和Cortex Copilot。
Palo Alto Networks的高級網絡安全專家海德爾·帕夏在電子郵件交流中解釋道:“生成式AI在網絡安全中顯著提高了識別和中和網絡威脅的能力。通過利用深度學習模型,這項技術可以模擬先進的攻擊場景,對測試和增強安全系統至關重要。這種模擬能力對於建立針對已知和新興威脅的強大防禦至關重要。此外,生成式AI通過自動化例行任務來簡化安全協議的實施,使網絡安全團隊能夠專注於更複雜的挑戰。”
其他計算機安全供應商也有類似的主張。Sophos在一份在線解釋中提到,人工智能能快速分析大量數據。“在網絡安全中利用人工智能的潛力幾乎是無窮無盡的,”Sophos表示。“威脅檢測和反應的速度和準確性幾乎達到了實時。人工智能可以通過盡快向安全團隊標記可疑行為來減少勒索攻擊的影響。最後,人工智能通過自動化使網絡安全操作更高效,釋放了安全團隊寶貴的時間和資源,以處理其他更重要的任務。”
AI的實際應用
儘管人工智能在改善網絡安全方面的潛力似乎不言而喻,但分析師警告某些風險,並指出人工智能的部署可能適用於某些安全領域,但在其他領域,仍然需要人類和可審計的行動。
國際數據公司(IDC)的大衛·克萊門特表示:“自動化安全任務存在許多機會,特別是在安全運營中心,有許多重複和繁瑣的安全任務。”例如,人工智能可以改善對可疑登錄嘗試的識別。“並非總是那麼明確,比如某人試圖從北韓登錄企業設備,因此某些任務可以自動化,許多安全公司正在尋求利用人工智能自動化一些工作。”克萊門特還提到,他看到生成式人工智能在如GitHub Copilot等產品中的良好前景,該產品由位於舊金山的GitHub公司開發,用於編寫安全程序的代碼。
IDC的安全與信任研究總監米歇爾·亞伯拉罕指出,儘管供應商的主張聽起來確實令人鼓舞,但目前缺乏案例研究來支持這些主張。“現在還是早期階段,”亞伯拉罕說。“許多產品在過去一年才宣布。因此,目前使用這些產品的人數並不多。”
風險與限制
儘管潛力巨大,但也存在擔憂,企業安全部門可能會希望避免人工智能的某些應用。克萊門特指出,讓生成式人工智能自動生成事件報告和行動可能會剝奪審核者的審計痕跡。
克萊門特表示:“如果使用較低水平的人工智能或自動化,您可以進入工具並了解它做出自動化選擇的原因,而使用生成式人工智能就沒有這個選擇;審核者可能會說沒有足夠的可解釋性。”他補充道:“對於許多生成式人工智能工具來說,缺乏可解釋性。如果法醫證據或響應文檔被生成式人工智能工具總結,您必須非常信任這一點。若出現幾次錯誤,審核者或合規團隊可能會對這些人工智能工具的使用提出不舒服的問題。”
供應商們意識到這一令人擔憂的前景。Palo Alto Networks的帕夏指出,定期對人工智能系統進行審計可能是潛在的應對措施。“定期的人工智能審計對於維持問責制至關重要,並確保人工智能系統按預期運作,”他說。“這些審計包括對人工智能模型、數據和過程的系統評審,以識別潛在問題並確保符合道德和監管標準。”相關風險還包括人工智能驅動的安全系統可能會提供錯誤的反應——業界稱之為“幻覺”——這可能會在不必要的情況下採取行動,或反之,未能在需要時採取行動。其原因之一是,人工智能系統是基於可能對新情況不充分或誤導的先前數據構建的。
供應商們並未忽視這一點。帕夏表示:“人工智能模型的好壞取決於訓練它們的數據。如果訓練數據不完整、不平衡或有偏見,則該模型可能會產生偏差的結果。例如,人工智能可能會偏向於檢測來自某些地區或類型的攻擊的威脅,而忽略其他威脅,從而導致保護的缺口。”
Sophos也同意這一點:“人工智能驅動的安全系統依賴於從歷史數據學習的機器學習算法,這可能導致當系統遇到不符合現有模式的新未知威脅時出現誤報。”
除了數據集,其他因素也可能會妨礙人工智能驅動的安全性。“一些人工智能驅動的網絡安全工具可能需要與組織現有基礎設施集成,這可能是複雜且資源密集的,”帕夏指出。“在集成過程中出現的配置錯誤可能會引入新的漏洞,或者由於兼容性問題,人工智能系統可能無法最佳運行。”
所有這些都提醒我們,整個社會和商業中都存在著人類與機器之間的討論。“我們試圖找到人類可以完成的任務與可以自動化的任務之間的分界線,”克萊門特表示。“最難的部分是知道什麼時候需要人類介入。安全往往是時間敏感的。隨著情況的時間敏感性增加,我們願意信任的參與方數量會減少到少數幾個。在安全工具方面也是如此。您需要這些工具可靠,並且在時間緊迫的情況下不會出現幻覺。”
供應商們對此並不反對。Sophos表示:“重要的是要記住,人工智能作為一項技術仍處於早期階段。人工智能仍然需要人類干預,不僅要訓練人工智能引擎,還要在引擎出錯時介入。”
換句話說,儘管貓與老鼠的遊戲中現在已經將人工智能納入了戰術,但網絡安全的遊戲仍然涉及人類的參與,至少目前是這樣。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
